Logo ETI Quitter la lecture facile

En ce moment

Une sécurité renforcée avec la biométrie digitale : mon oeil !

Posté le par Philippe RICHARD dans Informatique et Numérique

L’empreinte digitale est de plus en plus utilisée afin de sécuriser l’accès à son smartphone et à ses comptes en ligne. Cette alternative aux mots de passe présente un niveau de sécurité suffisant pour le grand public. Pas pour les ennemis publics n° 1 ou des VIP ciblées par des États…

Tous les jours, nous tapons différents mots de passe (du moins, tous ceux qui ne se contentent pas d’en avoir un ou deux par paresse…). Et cela devient vite pénible. Selon Microsoft, en novembre 2019, 100 millions de personnes utilisaient leurs offres de connexion sans mot de passe. En mai 2020, ce chiffre est passé à 150 millions.

Principale raison : retaper son mot de passe est contraignant. Pour être efficace, cette solution exige une « hygiène numérique » : recours à un gestionnaire de mots de passe, utilisation de mots de passe « forts » et différents pour chacun de nos comptes…

Résultat, différentes alternatives sont présentées depuis des années comme des solutions idéales et simples à utiliser. C’est le cas de l’empreinte digitale qui est de plus en plus intégrée à des smartphones ou à des boîtiers USB pour ordinateur (la présence d’un lecteur d’empreintes digitales n’étant pas nouvelle puisqu’en 2009, Acer l’avait intégré à son M900).

Mais l’identification biométrique par empreintes digitales est-elle la panacée ? Depuis des années, des hackers ont démontré les limites de cette solution. Si ce constat ne doit pas alarmer outre mesure le grand public, il inquiète tous ceux qui peuvent être espionnés ou qui sont recherchés par des polices.

Il existe différentes méthodes pour voler des empreintes digitales. Voici les principales qui peuvent être employées.

1-Mouler l’empreinte digitale

Une empreinte digitale moulée peut être prise alors que la victime est, par exemple, inconsciente. Un intrus utilisera alors le moule afin de créer un faux bout de doigt avec une imprimante 3D.

2-S’emparer de l’empreinte digitale prise avec un scanner

Cette option est certainement la plus facile, car ces données sensibles ne sont pas toujours stockées avec le niveau de sécurité nécessaire (le RGPD insiste d’ailleurs sur le fait que les entreprises doivent respecter un cahier des charges rigoureux en ce qui concerne les mesures de sécurité organisationnelles et techniques).

Au mois d’août 2019, des chercheurs israéliens, assistés par le site web vpnmentor, ont découvert une faille de sécurité impactant une base de données biométriques (BioStar 2) dédiée au contrôle d’accès dans les entreprises. Cette vulnérabilité aurait permis d’accéder aux empreintes digitales de plusieurs millions de personnes…

3-Prendre une photo de l’empreinte digitale sur une surface vitrée

L’équipe de recherche en sécurité X-Lab de Tencent a démontré l’efficacité de cette méthode lors du concours de cybersécurité Geekpwn 2019. Elle leur avait permis de tromper à trois reprises un smartphone et deux fois un système d’accès sur base.

Après avoir pris une photo d’une empreinte digitale sur un verre (laissée par des personnes au hasard), l’équipe de X-Lab avait créé une fausse empreinte. Tout ce processus n’avait pris que 20 minutes et le matériel utilisé ne coûtait que 200 euros. Par contre, impossible de connaître les détails précis de leur méthode. On peut juste dire que l’image a été traitée (par une application développée en interne) pour obtenir la transparence requise, puis elle a été transférée à une imprimante 3D.

Toujours est-il que ces Chinois ont affirmé qu’ils pouvaient tromper les capteurs physiques, optiques, ou encore ultrasoniques.

L’équipe de Tencent n’est pas la seule à maîtriser ce type de piratage. Au mois d’août 2020, le groupe de sécurité Talos de l’équipementier américain Cisco a dépensé environ 2 000 dollars sur plusieurs mois pour tester l’authentification par empreinte digitale proposée par Apple, Microsoft, Samsung, Huawei et trois fabricants de serrures.

Le résultat est inquiétant : en moyenne, les fausses empreintes digitales ont pu contourner les capteurs au moins une fois dans environ 80 % des cas. Les pourcentages sont basés sur 20 tentatives pour chaque appareil avec la meilleure fausse empreinte digitale que les chercheurs ont pu créer.

Seul bémol : l’équipe a insisté sur le fait que leurs résultats ont nécessité plusieurs mois de travail minutieux, avec la création de plus de 50 moules à empreintes digitales avant de trouver le bon.

« Toute technique de clonage des empreintes digitales est extrêmement difficile, ce qui fait de l’authentification des empreintes digitales une méthode valable pour 95 % de la population », a expliqué Vitor Ventura, un des chercheurs de Talos.

Comment éviter d’être piraté quand on risque d’être espionné ? Être parano ! Les Chinois de Tencent recommandent d’effacer les empreintes digitales de tout ce que l’on touche ou de porter des gants en permanence.

Pour aller plus loin

Posté le par Philippe RICHARD


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !